ssl

 

为WEB站点启用SSL

 

1、实验环境

   1.1 系统环境： CA、WEB服务器均为WINDOWS 2008。其中CA集成DNS服务器功能。

                  DNS区域名为: benet.com；为WEB服务器创建一条A记录。WEB服务

                  器的的完全合格域名为： www.benet.com

                  客户端为XP。

                  工作组环境

   1.2 实验拓扑：

      

       客户端： IP：192.168.100.200

                DNS：192.168.100.15

 

       CA机构：IP：192.168.100.15

       WEB服务器： IP： 192.168.100.16

 

2. 实验内容:

 2.1 服务器认证

 2.2 客户端认证

 

3. 实验步骤：

 3.1 服务器认证：

     3.1.1 信任CA。 在web服务器上打开浏览器输入http://192.168.100.15/certsrv，选择“下载CA证书”到本地，通过MMC控制台导入到“受信任的根证书颁发机构”。截图如下：

 A. 访问

B. 下载证书

C. 保存证书 （这是下载的CA证书，目的是为了信任CA）

D. 打开MMC控制台，导入证书：

 D1: 运行当中输入MMC

 D2: 添加证书组件：

至此，证书组件添加完毕，现在导入证书。

E：导入证书

接下来，选择你刚才下载的证书，将其导入“受信任的根证书颁发机构”就可以了！截图略。

    3.1.2 创建证书申请。 在web服务器上完成。打开IIS，鼠标点击服务器名，在中间窗口选择“服务器证书”，再在右侧窗口选择“创建证书申请”。根据提示完成申请。

   

注意通用名称：客户端以后只能通过此处的命名来访问WEB服务器。所以命名要准确，不要失误。其他信息可以随便填写。

连续2此下一步，输一个文件名，这个文件是一个文本文件，它将保存我们申请证书时要用到的编码：

点击完成即可。

    找到刚才的那个文本文件，将里面的内容全部复制，准备申请证书。

    3.1.3 申请证书。在web服务器上打开浏览器输入http://192.168.100.15/certsrv，选择申请证书，

   

注意：因为是工作组环境，所以所申请的证书没有自动颁发，要有CA的管理员手动颁发，所以，现在我们以管理员身份登陆到CA服务器上，选择管理工具中的证书颁发机构来颁发证书。我们的证书ID为2。

 点击颁发之后，我们可以到“颁发的证书”中查看到:

 至此申请证书完毕，接下来，需要在WEB服务器上下载此证书，并完成证书申请。

     3.1.4 下载证书。 在web服务器上打开浏览器输入http://192.168.100.15/certsrv 。操作如下：

    

下载证书，保存证书，同上面的操作一样。

     3.1.5 完成证书申请。在web服务器上完成。打开IIS，鼠标点击服务器名，在中间窗口选择“服务器证书”，再在右侧窗口选择“完成证书申请”。根据提示完成申请。

点击确定

     3.1.6   SSL绑定：   单击网站，选择绑定。

点击确定，再选择关闭，返回到了以下界面，选择SSL设置

设置完毕，客户端访问尝试一下。

 

现在使用https://www.benet.com访问：

访问成功。

 3.2 客户端认证。 当web服务器上的SSL设置中的“客户证书”为“必须”时，需要提供客户端认证，如果客户端没有用户证书，即使输入了https://www.benet.com，也是访问失败的。如图：

客户端访问：

如何实现呢？

    3.2.1 信任CA。操作过程参考3.1.1全步骤。

    3.2.1 申请用户证书。在客户端浏览器中输入：http://192.168.100.15/certsrv。

然后，点击“是”

因为是工作组，此证书没有自动颁发，还需要CA的管理员手动颁发，具体参考上面的步骤，注意ID号。

颁发之后，客户端重新登录http://192.168.100.15/certsrv,

至此，客户端证书安装完毕。测试：

访问成功。

 

再次强调： 这个实验的环境实在工作组环境完成。某些操作或名称和域环境的不一样，注意区别。